Alcune o tutte le informazioni in questa pagina potrebbero non essere applicabili a Trusted Cloud di S3NS. Per ulteriori dettagli, consulta la sezione Differenze rispetto a Google Cloud.

Questa pagina è stata tradotta dall'API Cloud Translation.

Memorizza le voci di log

Questo documento introduce i bucket di log, ovvero i container che Cloud Logging utilizza per archiviare i dati di log. Fornisce informazioni su posizione, gestione della chiave di crittografia e conservazione dei dati per i bucket log. Inoltre, evidenzia dove puoi utilizzare le policy dell'organizzazione o le impostazioni predefinite delle risorse per controllare la posizione e la crittografia dei nuovi bucket di log nelle cartelle o nelle organizzazioni.

Informazioni sui bucket di log

Per impostazione predefinita, Cloud Logging cripta i contenuti inattivi dei clienti. I dati archiviati nei bucket dei log da Logging vengono criptati utilizzando chiavi di crittografia delle chiavi, un processo noto come crittografia envelope. L'accesso ai dati di logging richiede l'accesso a queste chiavi di crittografia delle chiavi. Per impostazione predefinita, questi sono Google Cloud-powered encryption keys e non richiedono alcuna azione da parte tua.

La tua organizzazione potrebbe avere requisiti normativi, di conformità o di crittografia avanzata che la nostra crittografia at-rest predefinita non fornisce. Per soddisfare i requisiti della tua organizzazione, anziché utilizzare Google Cloud-powered encryption keys, puoi gestire le tue chiavi.

I bucket di log sono risorse regionali con una posizione fissa. Cloud de Confiance by S3NS gestisce l'infrastruttura in modo che le tue applicazioni siano disponibili in modo ridondante nelle zone all'interno di quella regione.

Il periodo di conservazione dei dati archiviati da un bucket dei log dipende dal bucket dei log. Questo documento contiene informazioni sulla conservazione dei dati.

Puoi creare visualizzazioni dei log in un bucket di log. Una visualizzazione log fornisce l'accesso solo a un sottoinsieme dei dati di log archiviati in un bucket di log. Per ogni bucket di log, Cloud Logging crea automaticamente una visualizzazione di log che fornisce l'accesso a ogni voce di log nel bucket di log. Controlli l'accesso a una visualizzazione log utilizzando Identity and Access Management (IAM).

Per eseguire query e visualizzare i dati di log, utilizza Esplora log. Questa pagina ti aiuta a risolvere i problemi e analizzare le prestazioni dei tuoi servizi e applicazioni. Puoi visualizzare le singole voci di log e filtrare i dati di log. Questa interfaccia ha un'impostazione dell'ambito, che consente di cercare i dati di log per progetto, bucket di log o visualizzazione log.

Per saperne di più, consulta Eseguire query e visualizzare le voci di log.

Supporto per organizzazioni e cartelle

Per aiutare la tua organizzazione a soddisfare le esigenze di conformità e normative, Logging supporta sia i criteri dell'organizzazione sia le impostazioni predefinite delle risorse:

Le impostazioni predefinite delle risorse specificano la posizione e la modalità di gestione delle chiavi di crittografia per i bucket log creati dal sistema quando vengono create nuove risorse in una cartella o un'organizzazione. Ad esempio, puoi forzare questi bucket di log creati dal sistema a trovarsi in una posizione specifica.
Un criterio dell'organizzazione può limitare la posizione dei nuovi bucket di log definiti dall'utente. La registrazione supporta i criteri dell'organizzazione che specificano le regioni in cui è possibile o meno creare bucket log.

Bucket di log creati dal sistema

Per ogni progetto, account di fatturazione, cartella o organizzazione Cloud de Confiance , Cloud Logging crea due bucket di log, uno denominato _Required e l'altro denominato _Default. A meno che non siano configurate le impostazioni predefinite delle risorse, per questi bucket di log, questi bucket hannoGoogle Cloud-powered encryption keys e Cloud Logging seleziona la loro posizione.

Non puoi eliminare i bucket di log creati dal sistema.

`_Required` bucket di log

Il bucket di log _Required archivia le voci di log necessarie per la conformità o per scopi di controllo. Per questo motivo, non puoi eliminare questo bucket log e non puoi modificare le voci di log archiviate in questo bucket log. Le voci di log in questo bucket di log vengono conservate per 400 giorni; non puoi modificare questo periodo di conservazione.

Le voci di log archiviate nel bucket di log _Required per una risorsa hanno origine anche in quella risorsa. ovvero il bucket di log _Required in un progetto Cloud de Confiance può archiviare solo le voci di log provenienti da quel progetto.

Il bucket log _Required archivia i seguenti tipi di voci di log:

Audit log delle attività di amministrazione
Audit log degli eventi di sistema
Audit log dell'amministratore di Google Workspace
Log di controllo di Enterprise Groups
Log di controllo degli accessi

`_Default` bucket di log

Il bucket di log _Default archivia le voci di log che non vengono archiviate automaticamente nel bucket di log _Required. Poiché il bucket di log _Default è stato creato dal sistema, non puoi eliminarlo. Tuttavia, puoi modificare le voci di log archiviate in questo bucket di log.

Cloud Logging conserva le voci di log nel bucket _Default per 30 giorni.

Ad esempio, questo bucket di log memorizza:

Audit log degli accessi ai dati.
Audit log negati da criteri.
Log generati da applicazioni e servizi. Cloud de Confiance by S3NS

Bucket di log definiti dall'utente

Puoi creare bucket di log definiti dall'utente in qualsiasi progettoCloud de Confiance . Quando crei un bucket di log definito dall'utente, selezioni la posizione. Hai la possibilità di fornire una chiave di crittografia gestita dal cliente.

Puoi modificare ed eliminare i bucket di log definiti dall'utente. Per proteggerti dall'eliminazione di un bucket di log che archivia voci di log che rientrano nel periodo di conservazione, puoi bloccare il bucket di log per impedire gli aggiornamenti.

Controllare l'accesso a un bucket di log

I ruoli e le autorizzazioni IAM controllano l'accesso ai dati di log. Ad esempio, puoi eseguire tutte le seguenti operazioni:

Concedi l'accesso in lettura e modifica a un bucket di log.
Concedi l'accesso in modifica a un bucket log in base all'appartenenza al gruppo utilizzando i tag.
Controlla l'accesso a campi specifici in una voce di log configurando l'accesso a livello di campo in un bucket di log.
Concedi l'accesso a un sottoinsieme di voci di log in un bucket di log creando una visualizzazione dei log in quel bucket di log.

Ogni bucket di log ha una visualizzazione di log predefinita, che in genere include ogni voce di log nel bucket di log. Per il bucket di log _Default, la visualizzazione dei log predefinita esclude le voci dei log di accesso ai dati.

Per concedere a un utente le autorizzazioni necessarie per visualizzare e analizzare le voci di log, in genere viene concesso uno dei seguenti ruoli IAM:

Ruolo Logs Viewer (roles/logging.viewer): concede l'accesso a tutte le voci di log nel bucket _Required e alla visualizzazione log predefinita nel bucket _Default.
Ruolo Visualizzatore log privati (roles/logging.privateLogViewer): concede l'accesso a tutti i log nei bucket _Required e _Default, inclusi i log di accesso ai dati.

Se crei bucket di log o visualizzazioni di log definiti dall'utente nei bucket di log, sono necessarie autorizzazioni aggiuntive. Per saperne di più sui ruoli, consulta Controllo dell'accesso con IAM.

Elenco delle regioni supportate

I bucket di log sono risorse a livello di regione. L'infrastruttura che archivia, indicizza e cerca le voci di log si trova in una posizione geografica specifica. Ad eccezione dei bucket di log nelle regioni global, eu o us, Cloud de Confiance by S3NS gestisce l'infrastruttura in modo che le tue applicazioni siano disponibili in modo ridondante nelle zone all'interno della regione del bucket di log.

Le seguenti regioni sono supportate da Cloud Logging:

Nome regione Descrizione della regione

u-france-east1 Francia

Nome regione	Descrizione della regione
`u-france-east1`	Francia
`global`	Log archiviati in qualsiasi data center che si trova in una regione supportata. I log potrebbero essere spostati in data center diversi. Nessuna garanzia di ridondanza aggiuntiva. Se vuoi scegliere la posizione di archiviazione per i dati di log, utilizza un bucket di log regionale.

global

Log archiviati in qualsiasi data center che si trova in una regione supportata. I log potrebbero essere spostati in data center diversi. Nessuna garanzia di ridondanza aggiuntiva.

Se vuoi scegliere la posizione di archiviazione per i dati di log, utilizza un bucket di log regionale.